恶意软件作者转向更简单的检测逃避技巧

鉴于每年创建的大量恶意软件变体,可以易于理解,恶意软件研究人员指望自动威胁分析系统,以便为其他手动分析进行换取。

这些自动化系统由沙箱组成–虚拟测试接地,不受信任和潜在恶意代码–让程序完成他们的事情并记录其行为。

不幸的是,恶意软件开发人员了解这一点,总是试图让他们的商品似乎无害的新技巧。

在过去的技术中,他们过去使用的是,恶意软件能够检查其存在指示它们运行的​​环境的虚拟性的注册表项,驱动程序,通信端口和进程,以及执行特殊汇编代码或枚举系统服务列表具有相同的目标。

如果这些测试证明了确实如此,恶意软件就会停止运行。

但所有这些技术都需要来自恶意软件制造商的特定技能和知识,并非所有这些技能和知识都拥有它们,因此他们已经转向更少的技术方法。

根据 赛门铁克 研究人员,只有在检测到鼠标移动或单击时,才能使恶意软件运行,以及在各种恶意软件子例程的执行之间插入延迟的另一个。

第一次测试背后的理由是自动威胁分析系统尚未’T使用鼠标,而常规计算机用户则执行,因此缺少这种移动信号到恶意软件,它可能正在沙箱中运行。

子程序执行延迟的原因–每次跨越20分钟–是,考虑到系统必须测试的文件数量,它通常只花在每个文件上的少量时间,并且在第一个子程序甚至运行之前,文件的机会将被分类为无害和丢弃。

分享这个